Nuova Normativa NIS2

Alpha Consulting

5 Febbraio 2025 | Privacy | 0 commenti

Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (direttiva NIS2) di derivazione europea.

Il recepimento della direttiva con il decreto legislativo del 4 settembre 2024, n. 138 (decreto NIS), mira a garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni del Paese, in armonia con gli altri Stati membri dell’Unione Europea.

L’Agenzia per la Cybersicurezza Nazionale è l’Autorità competente NIS.

I principali elementi della nuova normativa NIS sono:

  1. l’estensione degli ambiti di applicazione rispetto alla precedente normativa NIS.
    La nuova normativa riguarda, in particolare:

    • oltre 80 tipologie di soggetto, raggruppate in 18 settori, di cui 11 settori altamente critici e 7 settori critici;
    • l’intera infrastruttura ICT del soggetto;

  2. l’identificazione dei soggetti, distinti tra essenziali e importanti:

    • prevede un meccanismo di identificazione automatica sulla base di criteri oggettivi, includendo nell’ambito di applicazione tutti i soggetti riconducibili alle specifiche tipologie individuate dalla normativa che sono ritenute medie o grandi imprese (micro e piccole imprese, salvo eccezioni, sono fuori ambito) ai sensi della Raccomandazione 2003/361/CE;
    • può anche essere esercitata dall’Autorità nazionale competente NIS, su proposta delle Autorità di settore competenti, per inserire nell’ambito di applicazione ulteriori soggetti (cd. identificazione governativa);

  3. il rafforzamento degli obblighi con:

    • l’obbligo di implementare misure di sicurezza in relazione ad almeno 10 ambiti, con un approccio multi-rischio e proporzionale rispetto al rischio posto al sistema informativo e di rete;
    • un processo di notifica degli incidenti più articolato;
    • un rafforzamento dei poteri di esecuzione, ispettivi e sanzionatori. In particolare, le sanzioni si allineano a quanto previsto dal GDPR.

La scadenza più imminente che vi segnaliamo è questa:

  • dal 1° dicembre 2024 al 28 febbraio 2025, le medie e grandi imprese, in alcuni casi anche le piccole e microimprese, operanti in uno dei settori previsti dalla nuova normativa, devono registrarsi sul portale servizi ACN: https://portale.acn.gov.it/login per un processo di autovalutazione del campo di applicazione della norma stessa.

Ad aprile 2025 si avvierà un percorso condiviso di rafforzamento della sicurezza informatica.

Di seguito vi riportiamo una tabella esemplificativa per le aziende operanti nei settori definiti “Essenziali” e “Importanti”, vedi allegati I, II, III, IV del D.Lgs. 138/2024:

Campo di applicazione della direttiva NIS2

Alpha Consulting

Alpha Consulting

Dal 1998 al fianco delle imprese!
Punto di riferimento per le aziende clienti perché con servizi e consulenza affianchiamo i datori di lavoro nel delicato e importantissimo settore della tutela della sicurezza e della salute nei luoghi di lavoro.

SICURI SEMPRE

Questo canale vuole offrire spunti di riflessione ed idee pratiche per accrescere la cultura della sicurezza e migliorare i nostri comportamenti quotidiani: sul lavoro, a casa, in auto, per strada, in vacanza, nel tempo libero. Sempre.